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Kleine Anfrage 

der Abgeordneten Kathrin Vogler, Dorothee Menzner, Dr. Barbara Höll, Christine 
Buchholz, Wolfgang Gehrcke, Inge Höger, Andrej Hunko, Harald Koch, Ralph 
Lenkert, Jens Petermann, Richard Pitterle, Ingrid Remmers, Paul Schäfer (Köln), 
Michael Schlecht, Sabine Stüber, Frank Tempel, Alexander Ulrich, Halina 
Wawzyniak und der Fraktion DIE LINKE. 


Computerschadprogramm stuxnet 


Aktuelle Medienberichte thematisieren ein Computerschadprogramm namens 
„stuxnet“, das vor allem eine Software der Firma Siemens zur Steuerung von 
industriellen Großanlagen, insbesondere von Kraftwerken, infizieren und damit 
deren Funktion schwer beeinträchtigen können soll. 

Computerexperten/-innen stellten fest, dass es sich um ein neuartiges Schad- 
programm handelt, das mit erheblichem Aufwand programmiert und in Umlauf 
gebracht worden ist. 

Angesichts der Komplexität des Schadprogramms und der Art der Verbreitung 
- wohl zuerst im Iran — gehen Computerexperten/-innen davon aus, dass dieses 
Programm nicht von privaten Hackern, sondern von einer Regierungsbehörde 
entwickelt wurde mit dem Ziel, das Atomprogramm des Iran zu behindern. 

Am 1. Oktober 2010 berichtet die „Süddeutsche Zeitung“, dass laut dem neuen 
strategischen Konzept der NATO künftig auch bei Attacken mittels Computer- 
programmen der Bündnisfall eintreten soll. 

Wir fragen die Bundesregierung: 

1. Seit warm weiß die Bundesregierung von dem Stuxnet-Programm, und 
welche Erkenntnisse hat die Bundesregierung über Herkunft, Verbreitung 
und Schadenswirkung des Stuxnet-Programms seitdem gesammelt? 

2. Welche Risiken für die Bevölkerung und die Umwelt köimten nach Ein- 
schätzung der Bundesregierung entstehen, wenn durch ein solches Schad- 
programm die Funktionsweise von Atomkraftwerken oder anderen Atom- 
anlagen beeinträchtigt würde? 

3. Ergeben sich aus Sicht der Bundesregierang aus diesem Schadprogramm 
oder eventuellen Modifikationen Sicherheitsrisiken in Deutschland? 

4. Welche deutschen Atomkraftwerke (AKW) und welche Einrichtungen mit 
Forschungsreaktoren nutzen die durch das Stuxnet-Schadprogramm ange- 
griffene Siemens-Software? 

5. Welche der in Frage 4 bezuggenommenen AKW befinden sich derzeit im 
regulären Netzbetrieb? 
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6. Werden deutsche Atomanlagen in ähnlichen Konfigurationen betrieben, 
wie die betroffenen Anlagen im Iran? 

7. Welche deutschen AKW und welche Einrichtungen mit Forschungsreakto- 
ren sind vom Befall ihrer Rechner durch das Schadprogramm „stuxnet“ 
betroffen? 

8. Welche deutschen AKW und welche Einrichtungen mit Forschungsreakto- 
ren sind vom Befall ihrer Rechner durch andere Schadprogramme betrof- 
fen oder betroffen gewesen? 

9. Welche Maßnahmen hat das Bundesamt für Sicherheit in der Informations- 
technik ergriffen, um möglichen Schäden durch die Auswirkungen von 
„stuxnet“ zu begegnen? 

10. Welche weiteren Maßnahmen haben die Bundesregierung und das Bundes- 
amt für Sicherheit in der Informationstechnik bisher konkret ergriffen, um 
Cyberwar-Angriffe auf Atomkraftwerke und Forschungsreaktoren oder 
ähnliche Flochrisikoanlagen auszuschließen? 

11. Welche Art von Monitoring, Auswertung oder Berichterstattung über 
Angriffe durch Schadprogramme auf Rechner deutscher AKW und Ein- 
richtungen mit Forschungsreaktoren gibt es? 

12. Sind die für die Steuerang eines Reaktors relevanten Steueranlagen und 
Regelkreise in deutschen AKW und Einrichtungen mit Forschungsreakto- 
ren physikalisch von öffentlichen Dateimetzwerken getrennt? 

13. Zieht die Bundesregierung in Erwägung, den Befall von für die Steuerung 
deutscher AKW oder Einrichtungen mit Forschungsreaktoren relevanten 
Rechnern mit Schadsoflware als meldepfiichtiges Ereignis in die Atom- 
rechtliche Sicherheitsbeauftragten- und Meldeverordnung aufzunehmen, 
und wenn nein, warum nicht? 

14. Welche anderweitigen Bestrebungen hat die Bundesregierung, die Reaktor- 
sicherheit zukünftig bezüglich des Befalls von für die Steuerung von 
Nuklearreaktoren relevanten Rechnern mit Schadsofiware zu gewähr- 
leisten? 

15. Welche Maßnahmen sind bei den zuständigen Landesbehörden im Falle 
eines durch den Betreiber des AKW oder den Hersteller einer darin ver- 
wendeten Steueranlage verschuldeten Schadens durch einen Angriff durch 
Schadprogramme vorgesehen? 

16. Teilt die Bundesregiemng die Auffassung der Fragestellerinnen und Frage- 
steller, nach der Atomkraftwerke aufgrand der niemals auszuschließenden 
Anfälligkeit für Hacking-Angriffe grundsätzlich nicht als sicher bezeichnet 
werden können, und wenn nein, warum nicht? 

17. Verfiigt die Bundesregierang über Erkenntnisse, dass das Schadprogramm 
in Deutschland bereits wirtschaftliche Schäden hervorgerafen hat, und 
wenn ja, wie hoch sind diese Schäden in Euro? 

18. Wie bewertet die Bundesregierung aus völkerrechtlicher Sicht die Ent- 
wicklung und den Einsatz von Schadsoftware durch staatliche Behörden? 

19. Was unternimmt die Bundesregierung, um den staatlichen Einsatz von 
Schadsoftware völkerrechtlich zu ächten? 

20. Kann die Bundesregierung ausschließen, dass von deutschen Militärs 
oder Geheimdiensten Schadsoftware gegen Ziele im Ausland angewandt 
wird? 
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21. Entwickelt die Bundesregierung Schadsoftware für den Einsatz im Aus- 
land, welche privaten und öffentlichen Einrichtungen sind daran beteiligt, 
und wie hoch waren dafür die jährlichen Kosten seit dem Jahr 2000 (bitte 
einzeln aufschlüsseln)? 

22. Wie steht die Bundesregierang zu den Planungen der NATO, auch auf 
Computerattacken künftig den Bündnisfall erklären zu können? 

23. Zieht die Bundesregierung die Ausrufung des Bündnisfalls im Falle von 
„stuxnet“ in Erwägung, falls deutsche Anlagen beeinträchtigt werden (bitte 
begründen)? 

Wie stellt sich die Bundesregierung einen militärischen Einsatz zur Ab- 
wehr einer Cyber- Attacke auf Deutschland oder ein NATO-Land vor? 

24. Gegen wen würden sich - angesichts der Schwierigkeiten, den oder die 
Angreifer und auch das Ziel des Angriffs konkret zu benennen — Ver- 
geltungsmaßnahmen als Reaktion auf eine Cyber- Attacke nach Auffassung 
der Bundesregierung richten? 

Welche Art von Vergeltungsmaßnahmen kämen in Frage? 

Welche militärischen Mittel kämen bei einer Abwehr von Cyber-Attacken 
zum Einsatz? 

25. Welche Forschungs- und Entwicklungsvorhaben für Computerschad- 
programme wurden seit 2005 von der Bundesregierung bzw. den einzelnen 
Ministerien und Behörden finanziert (bitte mit den jeweiligen Förder- 
summen auflisten)? 

26. Welche Behörden sind mit der Untersuchung und Risikoanalyse des 
Stuxnet-Programms beauftragt? 

27. Welche Ministerien bzw. Bundesbehörden beschäftigen sich derzeit mit 
dem Themenkomplex Cyberwar? 


Berlin, den 6. Oktober 2010 

Dr. Gregor Gysi und Fraktion 
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